WannaCry: Med verden som gidsel

2017 var et år, der ændrede den moderne cyberverden, da et globalt cyberangreb chokerede verden. Cyberangrebet blev senere kendt som WannaCry.

4 minutters læsning. Udgivet den 17-05-2022 under kategorien: case.

WannaCry: Med verden som gidsel
Hero pattern

2017 var et år, der ændrede den moderne cyberverden, da et globalt cyberangreb chokerede verden. Cyberangrebet blev senere kendt som WannaCry, der stadig bekymrer sikkerhedsforskere den dag i dag.

Klokken var 07.44 den 12. maj 2017. WannaCry begyndte at spredte sig som en steppebrand og krypterede hundredtusindvis af computere i mere end 150 lande i løbet af få timer. Det var første gang, at ransomware, en form for malware, der krypterer en brugers filer og kræver en løsesum for at låse dem op, havde spredt sig over hele verden, i hvad der lignede et koordineret cyberangreb.

Nogle af de første lande, der blevet ramt, var Spanien og Storbritannien. Hospitaler i hele Storbritannien erklærede, at de var blevet ramt af en "større hændelse", efter at deres systemer gik offline pga. malwaren. Også offentlige systemer, jernbanenet og private virksomheder verden over blev ramt.

Alle ofrene fik deres filer og systemer låst og skulle betale en løsesum i Bitcoin for at stoppe ransomware-angrebet. De fik at vide, at alle deres filer ville blive slettet, hvis de ikke betalte inden for tre dage.

Hvordan var WannaCry muligt?

Sikkerhedsforskere indså hurtigt, at WannaCry-ransomwaren spredte sig som en computerorm på tværs af computere og over netværk ved hjælp af Windows SMB-protokollen. Mistanken faldt derefter hurtigt på et parti højt klassificerede hackingværktøjer udviklet af The National Security Agency (NSA), som uger tidligere var blevet stjålet og offentliggjort online, så alle kunne bruge dem. De blev lækket af hackergruppen The Shadow Brokers.

NSA havde udviklet et sikkerhedshul kaldet EthernalBlue til at udnytte systemer på ældre Windows computere. De havde yderligere udviklet et værktøj kaldet DoublePulsar, der kunne skabe og installere kopier af sig selv.

Microsoft, der allerede var klar over tyveriet af hackingværktøjer rettet mod dets operativsystemer, havde udgivet sikkerheds-patches, der kunne afhjælpe problemet. Men både forbrugere og virksomheder brugte alt for lang tid på at installere patchene. Og mange installerede dem slet ikke.

En ukendt hackergruppe, som menes at komme fra Nordkorea, havde hentet de offentliggjorte NSA-cybervåben og lanceret deres angreb. Hackerne brugte NSA's DoublePulsar til at skabe en vedvarende "bagdør", der blev brugt til at levere WannaCry-ransomware. Ved at bruge EternalBlue-sikkerhedshullet spredte ransomwaren sig til hver anden ikke-patchet computer på et netværk.

Et enkelt sårbart og internetforbundet system var nok til at skabe kaos.

Tilliden til efterretningstjenesterne brød sammen den dag. Både regeringer og privatpersoner krævede at få at vide, hvordan NSA planlagde at tage sig af de skader, myndigheden havde forårsaget. Det satte også gang i en heftig debat om, hvordan regeringen skaber eller udnytter sårbarheder som våben til at udføre statslig overvågning eller spionage.

På blot et par timer havde WannaCry forårsaget milliarder af dollars i skader. Hackergruppen bag WannaCry krævede løsesummer fra deres ofre i Bitcoin, og ofrene prøvede desperat at skaffe nok Bitcoin til at kunne betale hackerne. Men mange af de ofre, der betalte løsesummen, fik ikke adgang til deres systemer eller filer igen.

Én person havde løsningen

Marcus Hutchins, en sikkerhedsforsker med speciale i malware, var på ferie, da angrebet ramte. Han tog hurtigt hjem fra sin ferie og gik i gang med at arbejde. Ved hjælp af data fra sit selvudviklede malware-sporingssystem fandt han det, der senere blev til WannaCrys kill-switch. Han fandt et domænenavn indlejret i WannaCry-koden, og da han registrerede det domænenavn, stoppede Wannacry-ransomwaren med at sprede sig.

Hutchins offentliggjorde sin kill-switch og kl. 15.03 begyndte cyberangrebet hurtigt at stoppe verden over. Angrebet blev anslået til at have ramt mere end 200.000 computere i de 150 lande.

Eftervirkningerne

Selvom WannaCry-angrebet skabte panik verden over i 2017, er det stadig en bekymring for sikkerhedsforskere og virksomheder i dag. De udsatte NSA-værktøjer er stadig offentligt tilgængelige og i stand til at inficere sårbare computere. Efter WannaCry har der også været flere cyberangreb baseret på EternalBlue-sikkerhedshullet, bl.a. NotPetya, som ramte primært Ukraine senere samme år.

WannaCry var et wakeupcall for hele verden. Det viste både vigtigheden af god cybersikkerhed og den trussel, som ransomware-angreb udgør for alle slags virksomheder.

Hackergruppen bag WannaCry er aldrig blevet identificeret.

Forfatter Sofie Meyer

Kort om forfatteren

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Lignende indlæg